セキュリティ コントロール V2: バックアップと回復
手記
最新の Azure セキュリティ ベンチマークはこちらからご利用いただけます。
バックアップと回復では、さまざまなサービス レベルでのデータと構成のバックアップが実行、検証、保護されるようにするための制御が含まれます。
該当する組み込みの Azure Policy を確認するには、「Azure セキュリティ ベンチマーク規制コンプライアンスの組み込みイニシアチブの詳細: バックアップと復旧」
BR-1: 定期的な自動バックアップを確保する
| Azure ID | CIS コントロール v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| BR-1 | 10.1 | CP-2、CP4、CP-6、CP-9 |
予期しないイベントが発生した後もビジネス継続性を維持するために、システムとデータをバックアップしていることを確認します。 これは、目標復旧時点 (RPO) と目標復旧時間 (RTO) のすべての目標から定義する必要があります。
Azure Backup を有効にし、バックアップ ソース (Azure VM、SQL Server、HANA データベース、ファイル共有など) と、必要な頻度と保持期間を構成します。
より高いレベルの保護のために、geo 冗長ストレージ オプションを有効にして、バックアップ データをセカンダリ リージョンにレプリケートし、リージョン間の復元を使用して復旧することができます。
Azure Backup を有効にする方法
リージョン間の復元 を有効にする方法
責任: お客様
カスタマー セキュリティ利害関係者 (詳細情報):
BR-2: バックアップ データを暗号化する
| Azure ID | CIS コントロール v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| BR-2 | 10.2 | CP-9 |
バックアップが攻撃から保護されていることを確認します。 これには、機密性の損失から保護するためのバックアップの暗号化が含まれている必要があります。
Azure Backup を使用したオンプレミス バックアップの場合、指定したパスフレーズを使用して保存時の暗号化が提供されます。 通常の Azure サービス バックアップの場合、バックアップ データは Azure プラットフォームマネージド キーを使用して自動的に暗号化されます。 カスタマー マネージド キーを使用してバックアップを暗号化することを選択できます。 この場合は、キー コンテナー内のこのカスタマー マネージド キーもバックアップ スコープ内にあることを確認します。
Azure Backup、Azure Key Vault、またはその他のリソースで Azure ロールベースのアクセス制御を使用して、バックアップとカスタマー マネージド キーを保護します。 さらに、バックアップを変更または削除する前に、高度なセキュリティ機能を有効にして MFA を要求できます。
Azure Backup のセキュリティ機能の概要
Azure で Key Vault キーをバックアップする方法
責任: Customer
カスタマー セキュリティ利害関係者 (詳細情報):
BR-3: カスタマー マネージド キーを含むすべてのバックアップを検証する
| Azure ID | CIS コントロール v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| BR-3 | 10.3 | CP-4、CP-9 |
バックアップのデータ復元を定期的に実行します。 バックアップされたカスタマー マネージド キーを復元できることを確認します。
Azure Virtual Machine バックアップ からファイルを回復する方法
Azure で Key Vault キーを復元する方法
責任: Customer
カスタマー セキュリティ利害関係者 (詳細情報):
BR-4: キーが失われるリスクを軽減する
| Azure ID | CIS コントロール v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| BR-4 | 10.4 | CP-9 |
キーの損失を防ぎ、回復するための対策が整っていることを確認します。 Azure Key Vault で論理的な削除と消去の保護を有効にして、偶発的または悪意のある削除からキーを保護します。
責任: Customer
カスタマー セキュリティ利害関係者 (詳細情報):